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® Vertartren zum Diagncstlzieren einer von Computerviren befafienen Datenverarbeitungsaniage. 



@ Das Verfahren ist gekennzeichnet durch die Ver- 
wenrfung sines, einen Aigorithmus enthaitenden, vi- 
rusfreien Programms P, aus dem xum Zeitpunkt x = 
to mit HlJfe des Aigorithmus ein 
Programmauthentifizierungs-Code PAC = f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert wird. Zu PrCifzwecken wtrd nun dieses virus- 
freie Programm zu spateren Zeitpunkten x' t1 , t2, 
t3. tn als Koderprogramm in die zu untersuchende 
Datenverarbeitungsaniage eingebracht und gestartet. 
der srch dabei jeweils ergebende 
Programmauthentiflzierungs-Ccde PAC' mit dem ge- 
speicherten Program mauthentifizierungs-Code PAC 
verglichen und bei Ungleicliheit ein Fehlersignal er- 
zeugt. 
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venahren rum Dlagnostizleren einer von Computerv.ren befananen Datenverarbeitungsan.age 



Die Erfindung betrifft ein Veriahren zum Dia- 
gnostizieren einer von Computerviren befallenen 
Datenverarbeitungsanlage gemafi den Merknnalen 
des Oberbegriffs des Patentanspruchs 1 . 

Computerviren haben die Eigenschaft. daB sie 
ursprunglich sterile Programme infizieren. d.h. hin- 
sichtlich Qualitat und Quantitat so verandern. dafi 
die Funktion und eventuell die Lange des befalle- 
nen Programms mil denen des ursprunglich steri- 
len Programms nicht mehr ubereinstimmen. Ein 
Virusprogramm kann dabei sowohi als isoliertes 
Programm als auch in Gestalt eines bereits infizier- 
ten Benutzerprogramms auftreten. In beiden Fallen 
besitzt es die Fahigkeit, eine Kopie von sich selbst 
zu erzeugen und in ein anderes Programm einzu- 
schleusen, das dann seinerseits wieder als Virus 
auftreten und weitere Programme infizieren kann 
mit der Folge. 6aB sich Computerviren ietztlich 
"lawinenartig" ausbreiten k5nnen. 

In Anbetracht des Schadens. den ein infiziertes 
Programm anrichten kann, kommt dem rechtzeiti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebtiche Bedeutung zu. In der Pra- 
xis st6l3t diese jedoch auf erhebliche Schwierigkei- 
ten. weil einem Programm. zumal einem umfang- 
reichen Programm. auf den ersten Blick grundsalz- 
lich nicht anzusehen ist. ob es infiziert ist Oder 
nicht. Vergleichstests mit Hilfe eines sterilen Exem- 
plars desselben Programms anhand etner rein visu- 
elien Prufung waren zwar grundsatzlich mogiich, 
scheiden aber aus praktischen Erwagungen aus. 
Auch der Einsatz der Datenverarbeitungsanlage zur 
Programmprufung kommt Ietztlich nicht in Betracht. 
weil maschineii nicht mit letzter Sicherheit feststell- 
bar ist, ob ein Programm wirklich das tut. was es 
soil, abgesehen davon. dafl noch viel weniger fest- 
stellbar ist. ob ein Programm etwas tut. was es gar 
nicht soli- 

Im ubrigen hatten derartige Prufroutinen. falls 
sie erfolgreich realisiert werden konnten, nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
konnten. Virusprogramme konnen namlich mit ei- 
ner besonderen Eigenart. der sogenannten 
"Ausloser^-Funktion behaftet sein. Oas einge- 
schieuste Virus halt dann fur einen vorbestimmten 
Zeitraum still und wird erst durch den sogenannten 
Ausloser, zum Beispie! durch eine im Programm 
eingearbeitete Zeitangabe Oder durch spezielle 
Flags wirksam. Wenn man also vor eventuellen 
"Zeitbomben- sicher sein will, mufl die Datenverar- 
beitungsanlage fortlaufend im Hinbliick auf eventu- 
ell eingeschleuste und neu auftretende Viren unter- 
sucht werden. 

Der voriiegenden Erfindung liegt nun die Auf- 
gabe zugrunde. eine Methode zu finden. mit der 



eine einfache unc beliebig wiederholbare Uberpru- 
fung einer Datenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computerviren durchfuhr- 
bar ist- 

5 Die Losung dieser Aufgabe ergibt sich ertin- 

dungsgemafl durch die kennzeichnenden Merkma- 
le des Patentanspruchs 1. Eine vorteilhafte Weiter- 
bildung des Erfindungsgedankens ist im Anspruch 
2 angegeben. 

70 Das erfindungsgemafie Verfahren hat den Vor- 

teil. da/3 anstetle eines sehr aufwendigen Pro- 
grammvergleichs ledtglich ein Vergleich zweier Co- 
des erforderlich ist. Voraussetzung fur das Funktio- 
nieren des erfindungsgemaflen Verfahrens ist eine 
75 zweifelsfrei sterile Kopie des Programms. das 
heiflt. das Programm mufl auf einer Datenverarbei- 
tungsanlage hergestellt werden, von der mit Sicher- 
heit davon ausgegangen werden kann. dafl sie zum 
Zeitpunkt der Programmherstetlung virusfrei war. 
20 Die Gewahr. dafl ein steriles Vergieichs-^Normal" 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden, bei dem die Testperson sicher 
sein kann. dafl kein Virus eingepflanzt worden ist. 
25 Das aufgrund einer Differenz zwischen den beiden 
Codes gefundene Virus kann dann gegebenenfalls 
isoliert und untersucht werden. Aus der Art und der 
Wirkungsweise des gefundenen Virus kdnnen 
schlieClich Methoden zur Desinfektion der Aniage 
30 entwickelt werden. 

Im folgenden wird die Erfindung anhand der 
Zeichnung naher erlSutert. Dabei zeigen 

FIG 1 ein Blockschaltbild fur eine Anordnung 
2ur Erzeugung eines Testprogramms. 
35 FIG 2 ein Blockschaltbild fur eine Anordnung 

zur Durchfuhrung eines Testdurchlaufs. 

Ausgangspunkt fur das erfindungsgemafle Ver- 
fahren ist ein absolut virusfreies Programm P. des- 
sen Besonderheit darin besteht. dafl es einen Algo- 
40 r-thmus f enthalt. Gemafl Figur 1 wird nun mit Hilfe 
dieses Algorithmus f zum Zeitpunkt to aus dem 
Programm P ein Prog ram mauthentifizierungs-Code 
PAC erzeugt, der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 

dem Programmauthentifizierungs-Code PAC gebil- 
dete Testprogramm wird nun gemafl Rgur 2 zu 
spateren Zeitpunkten tl. t2 ... In als sogenanntes 
Koderprogramm in die zu untersuchende Datenver- 
50 arbeitungsanlage eingebracht. um feststellen zu 
konnen. ob diese Datenverarbeitungsanlage noch 
steril Oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen in der 
Datenverarbeitungsanlage vortiandenen Zeitgeber 
T ausgeloste Test lauft nun so ab. dafl aus dem 
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gespeicherten Testprogramm, d.h, mit dem im Pro- 
gramm P ©nthaltenen Algorithmus f ein weiterer 
Programmauthentifizierungs-Code PAC' erzeugt 
wird. Sowohl dieser neu gebildete Programmau- 
thentifizierungs-Code PAC' als auch der gespei- 
cherte Programmauthentifizierungs-Code PAC wer- 
den schliefilich einem Komparatcr COMP zuge- 
fQhrt, der bei Ungleichheit der Signale ein Fehtersl- 
gnal erzeugt. 



Anspriiche 



10 



1. Verfahrsn zum Diagnostizieren einer von 
Computerviren befadenen Datenverarbeitungsanla- n 
ge mit Hilfe ©ines Testprogramms, 
gekennzelcnnet durch die Verwendung eines. ei- 
nen Algorithmus f enthaitenden. virusfreien Pro- 
gramms P, aus dem zum Zeitpunkt x = to mit 
Hilfe des Algorithmus ein 20 

Programmauthentifizierungs-Code PAC = f (P) ge- 
bildet und zusammen mit dem Programm abge- 
speichert wird und dafi dieses virusfrei© Programm 
2u sp^teren Zeitpunkten x' = t1, t2. t3.„ tn als 
KSderprogramm in die zu untersuchende Datenver- 2s 
arbeitungsanlage eingebracht und gestartet, der 
sich dabei jeweils ergebende 

Programmauthantifizierungs-Code (PAC') mit dem 
gespeicherten Programmauthentifizierungs-Code 
(PAC) verglichen und bei Ungleichheit ein Fshlersi- 30 
gnal erzeugt wird. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet dafl der zu spateren 
Zeitpunkten gestartete Programmlauf durch einen 
in der Datenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgelost wird. 
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® Das Verfahren ist gekennzeichnet durch die Ver- 
wendung eines, einen Algorithmus enthattenden, vl- 
rusfreien Programms P, aus dem zum Zeitpunkt x = 
to mit Hilfe des Algorithmus ein 
Programmauthentifizlerungs-Code PAC = f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert wird. Zu PrOfzwecken wird nun dieses virus- 
freie Programm zu spateren Zeilpunkten x' = t1, t2, 
t3, ... tn als Koderprogramm in die zu untersuchende 
Datenverarbeitungsaniage eingebracht und gestartet. 
der sich dabei jeweils ergebende 
Programmauthentifizierungs-Code PAC' mil dem ge- 
speicherten Programmauthentifizierungs-Code PAC 
verglichen und bei Ungleichheit ein Fehlersignal er- 
zeugt. 
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